GSB 7.0 Standardlösung

Datenschutzerklärung auf GSB-Mandanten

Datum 22.08.2022

Hinweis zur Anpassung der Datenschutzerklärung bei Einsatz von Cookies und Matomo

Im GSB-Umfeld weisen wir bei Einsatz von Cookies und optional von Matomo als Webanalyse-Werkzeug darauf hin, diesen auch entsprechend in der Datenschutzerklärung auf Ihrer GSB-Webseite zu vermerken.
Folgende technische Basisinformationen mögen Ihnen dabei helfen, die Datenschutzerklärung auf Ihrer GSB-Instanz entsprechend anzupassen:

Cookies

Cookies stellen nach § 25 Datenschutzgesetz für Telemedien & Telekommunikation (TTDSG) aktive Komponenten auf dem Client des Nutzers dar. Dem Einsatz solcher Komponenten muss der Nutzer vor dem Einsatz zustimmen (Opt-in), es sei denn, es handelt sich um betriebsnotwendige Komponenten. Die Europäische Kommission bietet zum Thema Cookies eine Informationswebseite und stellt fest, dass Cookies, die technisch für die Bereitstellung einer Webseite notwendig sind, von dieser Bewertung ausgenommen sind.
-> siehe dazu: https://wikis.ec.europa.eu/display/WEBGUIDE/04.+Cookies+and+similar+technologies

Explizit erwähnt werden in diesem Zusammenhang Session-IDs und Load-Balancing-Cookies. Dies trifft auf folgende Cookies (mit deren Eigenschaften) zu, die in der GSB-Infrastruktur gesetzt werden:

JSESSIONID

  • zuständig für das Session-Management des Anwendungsservers
  • beinhaltet keine personenbezogenen Daten
  • basiert weder auf der IP-Adresse noch auf anderen zurückverfolgbaren Informationen des Nutzers
  • Gültigkeit endet mit Ablauf der aktuellen Sitzung
  • ist nur auf dem jeweiligen Server gültig und wird nicht über verschiedene Server-Instanzen synchronisiert

NID

  • wird in der Infrastruktur Köln verwendet
  • ist ein Cookie des Loadbalancers für stetige Zuleitung von Anfragen eines Nutzers innerhalb einer Session zum gleichen Server
  • dient ausschließlich dem Zweck der Lastverteilung
  • Gültigkeit endet mit Ablauf der aktuellen Sitzung

TS... (Der Name des Cookies variiert je nach Webseite)

  • wird in der Infrastruktur Köln verwendet
  • ist ein Cookie der Web Application Firewall / SSL-Terminierungsfunktion für stetige Zuleitung von Anfragen eines Nutzers innerhalb einer Session zum gleichen Server

AL-SESS-S / AL_LB

  • wird in der Infrastruktur Frankfurt verwendet
  • ist ein Cookie des Loadbalancers & ReverseProxies für stetige Zuleitung von Anfragen eines Nutzers innerhalb einer Session zum gleichen Server
  • dient ausschließlich dem Zweck der Lastverteilung
  • Gültigkeit endet mit Ablauf der aktuellen Sitzung

Matomo

Bei Einsatz von Matomo berücksichtigt die entsprechende Konfiguration im ITZBund bereits die Anforderungen der europäischen Datenschutzgrundverordnung EU-DSGVO. Wird Matomo eingesetzt, ist dies also als Opt-in bei Öffnung der Webseite anzugeben. Stimmt der Nutzer nicht zu, kann Matomo nicht verwendet werden. Das Tracking nach der Zustimmung durch den Nutzer erfolgt über den Einsatz von JavaScript. Dabei werden folgende Daten an Matomo übermittelt:

  • IP-Adresse
  • Datum und Zeitstempel des Request
  • Titel der besuchten Webseite
  • URL der besuchten Webseite
  • URL zuvor besuchter Seite (Referrer-URL)
  • verwendete Bildschirmauflösung
  • verwendete Zeitzone
  • angeklickte oder heruntergeladene Dateien
  • angeklickte ausgehende Links zu anderen Webseiten
  • Absprungseite
  • Dauer der Seitengenerierung
  • verwendete Browsersprache
  • verwendeter Browser
  • verwendetes Betriebssystem

Weitere Hinweise zu Matomo:

  • respektiert die DoNotTrack Einstellung, sofern diese vom Nutzer bewusst gesetzt wurde
  • pseudonymisiert die Benutzer-ID
  • unterstützt eine Opt-In Funktionalität
  • anonymisiert die IP: diese wird vor der Hashgenerierung um 2 Byte gekürzt; es findet also keine Speicherung der Original-IP statt
  • wertet die erhaltenen Daten nur im eingeschränkten Bereich eines Webauftrittes aus (kein Ermitteln des Providers oder Verwenden von Geo-IPs, kein Multidomain-Tracking)
  • das ITZBund löscht die Besucherlogs nach 30 Tagen, danach sind ausschließlich die bereits aggregierten Berichte für 24 Monate verfügbar
  • Daten verbleiben im ITZBund, keine Weitergabe an Dritte (weder zum Zweck der Werbung noch des Marketings)

Erhebung weiterer personenbezogener Daten

Abschließend bitten wir zu prüfen, ob Sie darüber hinaus auf Ihrer Webseite personenbezogene Daten erheben und wie dies erfolgt. Die Opt-In Einstellungen sind bei allen aktiven Komponenten auf dem Client des Nutzers entsprechend auszuprägen und hierzu in den Datenschutzerklärungen über die Verwendung der Daten zu informieren. Die Aufklärung in der Datenschutzerklärung umfasst auch die technisch notwendigen Komponenten.

Beispiele hierzu wären:

  • Newsletter-Funktionalität des GSB: Die dort erhobenen personenbezogenen Daten (E-Mail-Adresse, optional Name und abonnierte Themen) werden ausschließlich für die Erbringung des gewünschten Dienstes verwendet.
  • Warenkorb-Funktionen: eine Bestellung von Publikationen unter Einbeziehung weiterer Dienstleister
  • Kontakt-Formulare, Anmelde-Formulare und ähnlich Formulare, sofern hier personenbezogene Daten erhoben werden

Bitte prüfen ob Sie auch die Aufnahme folgender Informationen hinsichtlich der Protokollierung der Zugriffe in den Log-Dateien in die Datenschutzhinweise:

Bei jedem Zugriff eines Nutzers auf das im ITZBund gehostete Internet-Angebot und bei jedem Abruf einer Datei werden Daten über diesen Vorgang vorübergehend in einer Protokolldatei gespeichert und verarbeitet.
Im Einzelnen werden über jeden Zugriff / Abruf folgende Daten gespeichert:

  • Datum und Uhrzeit des Abrufs (Zeitstempel)
  • Anfragedetails und Zieladresse (Protokollversion, HTTP-Methode, Referrer-URL, UserAgent-String)
  • Name der abgerufenen Datei und übertragene Datenmenge (angefragte URL inklusiv Query-String, Größe in Byte)
  • Meldung, ob der Abruf erfolgreich war (HTTP Status Code)

Die IP-Adresse des Nutzers wird in diesem Zusammenhang nicht gespeichert. Die Logdateien werden 30 Tage vorgehalten.

Bei Fragen steht Ihnen das GSB-Team im ITZBund gerne zur Verfügung.